แผนการของผู้ปฏิบัติงานด้วย Open Gateway เป็นการโจมตีความเป็นส่วนตัวของคุณ

March 7, 2023 แมตต์มิลส์ ข่าว 0

พื้นที่ GSMA ที่งาน MWC 2023 ที่กำลังจัดขึ้นในเมืองบาร์เซโลนา ได้เผยแพร่ความคิดริเริ่มที่จะอนุญาตให้ใช้ API แบบเปิดและเป็นมาตรฐานร่วมกันและรวมศูนย์ โดยมีจุดประสงค์เพื่อ "ให้ การเข้าถึงเครือข่ายโอเปอเรเตอร์ที่ทำงานร่วมกันได้ สำหรับนักพัฒนาและบริษัท ». ตามที่พวกเขาระบุไว้ “โครงการนี้จะเป็นตัวกระตุ้นสำหรับสิ่งเหล่านี้ทั้งหมด บริการขั้นสูงเพื่อพัฒนาศักยภาพ ” ในความเป็นจริง สิ่งที่พวกเขาตั้งใจจะทำคือรับข้อมูลเกี่ยวกับสายที่ผู้ใช้ใช้ ข้อมูลเกี่ยวกับตัวผู้ใช้เอง และแก้ไขการเข้าถึงอินเทอร์เน็ตหากคุณจ่ายเงินสำหรับการเข้าถึง API กล่าวอีกนัยหนึ่งแผน Open Gateway จะขัดแย้งกับความเป็นส่วนตัวของเราบนอินเทอร์เน็ต และด้วย ความเป็นกลางของเครือข่ายที่ควรจะเป็น.

โอเปอเรเตอร์รายใดจะใช้ Open Gateway

แผนการของผู้ปฏิบัติงานด้วย Open Gateway เป็นการโจมตีความเป็นส่วนตัวของคุณ

ปัจจุบันมีบริษัทมากกว่า 20 แห่งที่อยู่ใน Open Gateway ซึ่งสามารถรองรับผู้คนได้มากกว่า 3.8 พันล้านคน ขณะนี้มีแปดมาตรฐาน APIs ภายใต้ โครงการ “คามาร่า” ที่มีอยู่อย่างเปิดเผยบน GitHub และที่ที่เราสามารถดูซอร์สโค้ดของ API แต่ละอันเหล่านี้ได้ และจุดประสงค์ของพวกมันคืออะไร ตัวดำเนินการเช่น Movistar, Orange และ Vodafone มีอยู่และพัฒนา API ต่างๆ ของโครงการนี้

การรวมกันของเทคโนโลยีและวิวัฒนาการของผู้ให้บริการใหม่นี้ควรจะนำเสนอบริการและโซลูชั่นที่เป็นนวัตกรรม พร้อมการใช้งานจริงและแอพพลิเคชั่นต่างๆ เช่น ระบบอัตโนมัติในอุตสาหกรรม รถยนต์อัตโนมัติ การผ่าตัดระยะไกล และเกมแบบอินเทอร์แอคทีฟ นอกจากนี้ พวกเขายังให้ความสำคัญเป็นพิเศษในการปรับปรุงการจัดการเหตุฉุกเฉิน การสื่อสารแบบโฮโลกราฟิก และโลกเสมือนจริง Álvarez-Pallete ประธานของ Telefónica ได้ประกาศว่าบริการเหล่านี้จะเป็นตัวแทนของ “ความท้าทายขั้นสุดท้ายสำหรับเครือข่ายของบริษัทโทรคมนาคม” และ “หากไม่มี telcos ก็ไม่มีอนาคตดิจิทัล”

อีกแง่มุมที่สำคัญมากคือโครงการนี้ได้รับการสนับสนุนจากบริษัทอินเทอร์เน็ตขนาดใหญ่ เช่น Amazon AWS, Google เมฆ และนอกจากนี้ยังมี ไมโครซอฟท์ Azure และนั่นคือการรับประกันการเข้าถึงผ่านแพลตฟอร์มเหล่านี้สำหรับนักพัฒนาหลายพันคน เพื่อให้พวกเขามีฟังก์ชันการทำงานของ API ทั้งหมดได้ง่ายและรวดเร็ว

ทั้งหมดนี้ฟังดูเท่และล้ำสมัยมาก อย่างไรก็ตาม Open Gateway ขัดแย้งโดยตรงกับความเป็นส่วนตัวของคุณในฐานะผู้ใช้อินเทอร์เน็ต และ นอกจากนี้ยังสามารถโจมตีความเป็นกลางสุทธิ . เราต้องจำไว้ว่าทุกบริษัทที่จ่ายเงินให้โอเปอเรเตอร์เพื่อเข้าถึง API จะสามารถเข้าถึงข้อมูลลูกค้าโอเปอเรเตอร์จำนวนมากได้ และนี่ถือเป็นความเสี่ยงร้ายแรงต่อความเป็นส่วนตัวของเรา

นี่คือวิธีที่ Open Gateway จะโจมตีความเป็นส่วนตัวของคุณบนอินเทอร์เน็ต

ปัจจุบันโปรเจกต์นี้มี API ที่แตกต่างกันมากกว่า 10 รายการที่มุ่งเน้นที่การดำเนินการต่างๆ ซึ่งบางรายการคุกคามความเป็นส่วนตัวของคุณโดยตรง และจะอนุญาตให้แอปพลิเคชัน บริษัท และแม้แต่ผู้ดำเนินการได้รับการติดตามแบบเรียลไทม์ (ยิ่งกว่านั้นหากเป็นไปได้) ต่อไป เราจะอธิบายว่า API ใดที่ "อันตราย" ที่สุดสำหรับความเป็นส่วนตัวของคุณ

ผู้ไม่ประสงค์ออกนาม SubscriberIdentifier

API นี้ให้บริษัทที่มีสิทธิ์เข้าถึงเพื่อรับ ข้อมูลระบุตัวตนที่ไม่ระบุตัวตนของลูกค้าปลายทาง ที่ใช้มือถือบางเครื่อง นอกจากนี้ สิ่งสำคัญมากคือเราจะมีตัวตนเหมือนกันไม่ว่าจะเปลี่ยนมือถือหรือซิมการ์ดก็ตาม เมื่อใดก็ตามที่ลูกค้าพยายามเข้าถึงบริการอินเทอร์เน็ต เราจะมีข้อมูลประจำตัวที่แน่นอนเพื่อ "เชื่อมโยง" ด้วย

ตอนนี้ขอบเขตของ API นี้ จำกัดเฉพาะ 4G และ 5G เครือข่าย อย่างไรก็ตาม ในเอกสารอย่างเป็นทางการระบุว่านี่เป็นเพียงขั้นตอนแรกเท่านั้น เราคิดว่าอีกไม่นานจะมีให้บริการในเครือข่ายอินเทอร์เน็ตแบบคงที่ เช่น ใยแก้วนำแสง .

  • สิ่งนี้ส่งผลต่อคุณอย่างไร? หากจนถึงตอนนี้ ด้วยคุกกี้และซูเปอร์คุกกี้ เราได้รับการตรวจสอบเพียงพอแล้ว และเป็นการยากที่จะรักษาความเป็นส่วนตัวของเรา ด้วยเหตุนี้ ผู้ประกอบการไม่เพียงแต่จะรู้ทุกอย่างเกี่ยวกับเราเท่านั้น แต่พวกเขาจะทำการตลาดข้อมูลนี้ เนื่องจากบริษัทต่างๆ จะจ่ายเงิน เพื่อเข้าถึง API นี้
  • ทำไมโอเปอเรเตอร์ถึงสนใจที่จะทำสิ่งนี้? เพื่อสร้างรายได้จากการซื้อขายข้อมูลของเรา บริษัทต่างๆ จะจ่ายเงินสำหรับการเข้าถึง API และจากนั้นจะสามารถเข้าถึงข้อมูลทั้งหมดของเรา

ผู้ประกอบการเพิ่งเปิดตัว TrustPid ซึ่งเป็น "คุกกี้ขั้นสูง" ในระดับผู้ดำเนินการโดยมีจุดประสงค์เพื่อติดตามเรา เนื่องจากวิธีการใหม่นี้โดยพื้นฐานแล้วจะเหมือนกัน แต่มีจุดประสงค์เพื่อให้บริษัทอื่นๆ สามารถเข้าถึงข้อมูลลูกค้าเพื่อนำเสนอโฆษณาหรือบริการบางอย่างแก่พวกเขา

Cómo espía ส่วนขยาย Chrome con

การจัดการเอกลักษณ์และความยินยอม

API นี้รับผิดชอบ ควบคุมความเป็นส่วนตัวของผู้ใช้ , แพลตฟอร์มของผู้ประกอบการ (เครือข่าย เป็นบริการ) จะต้องสร้างขึ้นโดยเน้นที่ความเป็นส่วนตัวเพื่อให้เป็นไปตามข้อบังคับการคุ้มครองข้อมูลอย่างครบถ้วน เช่น GDPR ของยุโรป . ด้วย GDPR API ของโปรเจ็กต์ CAMARA บางตัวจะต้องได้รับความยินยอมจากผู้ใช้ในการเข้าถึงข้อมูล ดังนั้นจึงจะบังคับให้ผู้ประกอบการจัดหาวิธีการและโซลูชันในการรวบรวมข้อมูลจากลูกค้า จัดเก็บข้อมูลนี้ และจัดการความยินยอมตลอดวงจรชีวิตทั้งหมด

หากไม่พิจารณา CAMARA API จะไม่สามารถดำเนินการได้ เนื่องจากจะต้องปฏิบัติตาม GDPR ของยุโรป ผู้ให้บริการจะต้องสร้างโซลูชันเพื่อรวมข้อมูลประจำตัวของผู้ใช้ปลายทางและ/หรือผู้ใช้บริการ เนื่องจากทั้งคู่อาจแตกต่างกัน เจ้าของรายเดียวกันอาจมีหมายเลขที่แตกต่างกันซึ่งใช้โดยผู้คนที่แตกต่างกัน

  • สิ่งนี้ส่งผลต่อคุณอย่างไร? สิ่งที่ API นี้จะทำคือ "รับประกัน" ความเป็นส่วนตัวของคุณ โดยขออนุญาตจากคุณในกรณีที่กฎหมายปัจจุบันกำหนดไว้

ตอนนี้การอ่านเงื่อนไขและข้อกำหนดทั้งหมดจะมีความสำคัญมากกว่าที่เคย มันจะเป็นสิ่งที่คล้ายกับ "แบนเนอร์" ของคุกกี้ที่เรามีในเว็บไซต์ทั้งหมด

ตำแหน่งอุปกรณ์

API นี้ช่วยให้บริษัทที่ทำสัญญาบริการสามารถตรวจสอบตำแหน่งของอุปกรณ์ได้ ในระยะแรก มีการวางแผนไว้สำหรับเครือข่าย 4G และ 5G เท่านั้น ตามที่อธิบายไว้ในเอกสารอย่างเป็นทางการ อย่างไรก็ตาม เครือข่ายใยแก้วนำแสงแบบคงที่จะตามมาภายหลัง โดยเฉพาะอย่างยิ่ง การดำเนินการนี้จะตรวจสอบว่าตำแหน่งของอุปกรณ์อยู่ภายในพื้นที่ที่ระบุโดยพิกัด (ละติจูดและลองจิจูด) ที่ GPS ให้ไว้หรือไม่หากเปิดใช้งาน

ปัจจุบัน API นี้ให้การยืนยันตำแหน่งสุดท้ายเท่านั้น ในการทำเช่นนี้ อุปกรณ์มือถือจะต้องส่งผ่านข้อมูล เช่น “ueld” ซึ่งเป็นตัวระบุภายนอกโดยทั่วไป เช่น ที่อยู่ msisdn, IPv4 หรือ IPv6 ระบุละติจูดและลองจิจูด รวมทั้งค่าที่คาดไว้ระหว่าง 2 กม. ถึง 200 กม. ลูกค้าจะถามว่าตำแหน่งของอุปกรณ์อยู่ภายใน "วงกลม" ที่สร้างขึ้นนี้หรือไม่ เหตุผลที่ต้องมีช่วงระหว่าง 2 กม. ถึง 200 กม. ก็คือ การหาตำแหน่งผ่านเสาอากาศทำให้เรามีช่วงกว้างเช่นนี้

Geofencing

  • สิ่งนี้ส่งผลต่อคุณอย่างไร? ขณะนี้มีวิธีปลอมแปลงตำแหน่งที่ GPS ให้มา เช่น เราสามารถระบุได้ว่าเราอยู่ในกาลิเซียเมื่อเราอยู่ในมาดริดจริงๆ และแอปพลิเคชันจะเชื่อว่าเราอยู่ในกาลิเซีย อย่างไรก็ตาม ด้วย API นี้จะไม่สามารถทำได้อีกต่อไป เนื่องจากผู้ให้บริการจะระบุตำแหน่งของเราในเสาอากาศเคลื่อนที่เฉพาะ และข้อมูลจะไม่ตรงกัน ดังนั้น เราจะไม่สามารถปลอมแปลงตำแหน่งได้
  • ทำไมโอเปอเรเตอร์ถึงสนใจที่จะทำสิ่งนี้? หากผู้ให้บริการขายตำแหน่งจริงของเราให้กับแอปพลิเคชั่นอื่น เช่น แอปพลิเคชั่นหาคู่ประเภท Tinder พวกเขาจะสามารถยืนยันได้ว่าเราอยู่ในบริเวณที่เราบอกว่าอยู่จริง ขณะนี้มีแอปพลิเคชั่นที่ให้คุณปลอมตำแหน่ง GPS

อย่างที่คุณเห็น ด้วย API นี้พวกเขาจะสามารถระบุตำแหน่งของเราได้ทุกที่และจะไม่มีทางป้องกันได้

ตัวระบุอุปกรณ์

API นี้ให้ความเป็นไปได้ในการรับข้อมูลระบุตัวตนของอุปกรณ์ขั้นสุดท้ายที่ไคลเอ็นต์กำลังใช้ โดยพื้นฐานแล้วจะได้รับรหัส IMEI ของเทอร์มินัล และรู้ทั้งยี่ห้อและรุ่นของเทอร์มินัล สิ่งนี้ทำไปแล้วในปัจจุบันเนื่องจากส่วนหนึ่งของรหัส IMEI ระบุแบรนด์ของผู้ผลิต ซึ่งไม่ใช่เรื่องใหม่ แต่เป็นความจริงที่ตอนนี้ บริษัท ภายนอกจะสามารถเข้าถึงข้อมูลว่ามือถือของเราคืออะไร เพื่อส่งโฆษณาสำหรับเทอร์มินัลใหม่หรือ ความสามารถ

API นี้หากเกี่ยวข้องกับ API ที่ไม่เปิดเผยตัวผู้สมัครสมาชิก เป็นส่วนผสมที่ลงตัวในการรู้ทุกอย่างเกี่ยวกับเรา รวมถึงมือถือที่เราใช้ และคาดการณ์กำลังซื้อของลูกค้า

  • สิ่งนี้ส่งผลต่อคุณอย่างไร? โดยตัวมันเองมีผลเพียงว่าพวกเขาจะสามารถทราบยี่ห้อและรุ่นของเครื่องปลายทางมือถือ ซึ่งเป็นสิ่งที่ทราบอยู่แล้วเนื่องจาก IMEI ระบุเช่นนั้น ปัญหาจะเกิดขึ้นหากพวกเขารวมเข้ากับ API อื่น ๆ และข้อมูลเพิ่มเติม พวกเขาจะรู้จักเรามากยิ่งขึ้น หากคุณมี iPhone ก็อาจคาดเดาได้ว่าคุณมีกำลังซื้อสูงและสามารถส่งโฆษณาสินค้าระดับพรีเมียมให้คุณได้
  • ทำไมโอเปอเรเตอร์ถึงสนใจที่จะทำสิ่งนี้? หากผู้ให้บริการขายตำแหน่งจริงของเราให้กับแอปพลิเคชั่นอื่น เช่น แอปพลิเคชั่นหาคู่ประเภท Tinder พวกเขาจะสามารถยืนยันได้ว่าเราอยู่ในบริเวณที่เราบอกว่าอยู่จริง ขณะนี้มีแอปพลิเคชั่นที่ให้คุณปลอมตำแหน่ง GPS

อย่างที่คุณเห็น อีกหนึ่ง API สำหรับการรวบรวมข้อมูลและการขายให้กับทุกคนที่ต้องการเข้าสู่ Open Gateway

หมายเลขการตรวจสอบ

API นี้มีไว้เพื่อตรวจสอบว่าหมายเลขโทรศัพท์ที่ระบุเป็นหมายเลขที่ใช้งานจริงบนอุปกรณ์ ด้วยวิธีนี้ ระบบจะตรวจสอบว่าผู้ใช้ใช้หมายเลขโทรศัพท์เดียวกับที่แจ้งไว้ในอุปกรณ์ แน่นอนว่าผู้ให้บริการสามารถตรวจสอบหมายเลขได้เอง โดยส่งคืนหมายเลขโทรศัพท์ที่เชื่อมโยงกับโทเค็นการเข้าถึงจากผู้ใช้ที่ผ่านการรับรองความถูกต้อง

API นี้ช่วยให้คุณตรวจสอบหมายเลขโทรศัพท์ที่ใช้งานบนมือถือแบบเรียลไทม์ ซึ่งเน้นไปที่เครือข่าย 4G และ 5G โดยเฉพาะ เนื่องจากการเชื่อมต่อ Wi-Fi จะอยู่นอกเหนือ API นี้ การตรวจสอบโทรศัพท์มี XNUMX วิธี วิธีแรกคือการดูผลการเปรียบเทียบ และที่น่ากังวลที่สุดคือลูกค้าสามารถส่งหมายเลขโทรศัพท์ของคุณของอุปกรณ์ที่ใช้เพื่อให้พวกเขาตรวจสอบได้ด้วยตนเอง

คุณสมบัติที่สำคัญอีกประการหนึ่งคือ API นี้ จะใช้การเชื่อมต่อเครือข่ายมือถือโดยตรงเพื่อตรวจสอบการครอบครองหมายเลขโทรศัพท์ในเบื้องหลัง ไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้ ไม่มีการรับรหัสผ่านแบบใช้ครั้งเดียวทาง SMS หรือการใช้แอปยืนยันตัวตน เช่น Google Authenticator วิธีนี้ง่ายกว่าและโปร่งใสกว่ามาก API นี้สามารถใช้เพื่อลงทะเบียนในบริการและเพื่อตรวจสอบในภายหลังว่าเราไม่ได้เปลี่ยนมือถือของเรา

  • สิ่งนี้ส่งผลต่อคุณอย่างไร? แอปพลิเคชันของบุคคลที่สามสามารถรับหมายเลขโทรศัพท์มือถือของคุณได้โดยตรง ไม่มีอะไรต้องตรวจสอบความถูกต้องจาก SMS ที่ได้รับ (ไม่ว่าคุณจะระบุหมายเลขโทรศัพท์มือถือไว้ก็ตาม) ขณะนี้ บริษัทต่างๆ จะได้รับหมายเลขโทรศัพท์จริงที่คุณใช้อยู่โดยตรง
  • ทำไมโอเปอเรเตอร์ถึงสนใจที่จะทำสิ่งนี้? ผู้ให้บริการสามารถขายบริการยืนยันโทรศัพท์มือถือให้กับบริษัทภายนอกได้ ไม่จำเป็นต้องใส่โทรศัพท์มือถือของเราและตรวจสอบความถูกต้องด้วยรหัสทาง SMS อีกต่อไป แต่บริษัทสามารถรับหมายเลขโทรศัพท์มือถือของเราได้โดยตรง

ลองนึกภาพว่าคุณต้องการเก็บเบอร์มือถือที่ "ดี" ไว้เป็นความลับสำหรับบริการต่างๆ เช่น Twitter or Facebookและ ใช้เบอร์ดีของคุณเพื่อการธนาคารและเรื่องส่วนตัวเท่านั้น . ตอนนี้ คุณจะไม่สามารถใส่หมายเลขของบรรทัดรองเพื่อตรวจสอบโค้ดได้ ที่ได้รับข้อความ SMS หรือใช้บริการรับข้อความ SMS ทางอินเทอร์เน็ต บริษัทโดยตรงจะรู้ใช่หรือใช่หมายเลขโทรศัพท์มือถือของคุณ

บริการนี้จะไม่ทำงานหากเราทำ Tethering หากเราอยู่ในเครือข่าย Wi-Fi หรือใช้งาน VPN การเชื่อมต่อ

CarrierBillingCheckOut

API นี้ช่วยให้บริษัทสามารถชำระค่าบริการผ่านบิลของลูกค้าจากผู้ให้บริการโทรคมนาคมได้ ขณะนี้มีบริการต่าง ๆ ที่สามารถชำระผ่านใบแจ้งหนี้ของผู้ให้บริการได้ นี่เป็นอีกขั้นตอนหนึ่งเนื่องจากใครก็ตามที่เข้าถึง Open Gateway จะสามารถเรียกเก็บเงินจากการซื้อหรือสมัครรับเนื้อหาดิจิทัลได้โดยตรงจากใบแจ้งหนี้

ส่วนที่เป็นบวกคือเราจะมีวิธีการชำระเงินที่ง่ายและรวดเร็วในใบแจ้งหนี้โดยตรง ส่วนด้านลบก็คือ ในอดีตมีปัญหามากมายเกี่ยวกับการสมัครรับข้อมูลที่ไม่ได้เกิดจากลูกค้าจริงๆ ไม่ว่าจะเกิดจากความผิดพลาดหรือความไม่รู้ก็ตาม ดังนั้นควรพิจารณาเรื่องนี้อย่างรอบคอบนับจากนี้ไป เพราะบริษัทอื่นๆ จำนวนมากจะทำได้ ปฏิบัติตาม API นี้เพื่อขายบริการผ่านใบเรียกเก็บเงินของผู้ให้บริการ

API นี้ดูไม่เลวสำหรับเราสำหรับผู้ที่ต้องการชำระค่าบริการผ่านใบเรียกเก็บเงินของบริษัทโทรคมนาคม แต่ตราบใดที่มีวิธีการยกเลิกการสมัครที่มีประสิทธิภาพและง่ายดาย

ความเป็นกลางสุทธิในการตรวจสอบ

มี Open Gateway API บางตัวที่มุ่งเน้นเป็นพิเศษในการจัดลำดับความสำคัญของบริการบางอย่างเหนือบริการอื่นๆ บนอินเทอร์เน็ต เมื่อควรมี "ความเป็นกลางสุทธิ" บางอย่าง การขัดแย้งกันโดยตรงกับหลักการนี้ เนื่องจากบริษัทที่จ่ายเงินจะมีการเชื่อมต่อที่ดีกว่า ส่วนบริษัทที่ไม่ได้ทำงานก็จะแย่ลง เพราะบริษัทที่จ่ายเงินนั้น "ยึด" แบนด์วิธที่มีอยู่ทั้งหมด

คุณภาพตามความต้องการ

API นี้ช่วยให้บริษัทต่างๆ สามารถร้องขอเวลาแฝงที่เสถียรหรือทรูพุตขั้นต่ำในแง่ของความเร็ว โดยทั้งหมดจัดการโดยเครือข่ายโทรคมนาคม โดยไม่จำเป็นต้องมีความรู้ขั้นสูงเกี่ยวกับระบบ 4G หรือ 5G หรือความซับซ้อนของระบบทั่วโลก ระบบโทรคมนาคม ด้วยวิธีนี้หากบริษัทเช่น IoT อุตสาหกรรมเกมเสมือนจริงหรือการส่งสัญญาณวิดีโอแบบเรียลไทม์ต้องการชุดข้อกำหนดเฉพาะ พวกเขาสามารถ "กำหนดค่า" เครือข่ายเพื่อรับประกันเวลาแฝงขั้นต่ำและความเร็วขั้นต่ำเพื่อให้บริการเหล่านี้ทำงานได้อย่างสมบูรณ์

สิ่งที่ API นี้จะทำคือการจัดลำดับความสำคัญของข้อมูลของบริษัทที่จ่ายเงินเพื่อเข้าถึง Open Gateway บริษัทที่เหลือที่ไม่จ่ายเงินจะมีสิ่งที่เรียกว่าความพยายามที่ดีที่สุดหรือ "ความพยายามที่ดีที่สุด" โดยไม่มีการรับประกันเวลาแฝงหรือความเร็วขั้นต่ำ

  • สิ่งนี้ส่งผลต่อคุณอย่างไร? ความเป็นกลางสุทธิอยู่ในการตรวจสอบ เป็นไปได้ว่าคุณใช้บริการบางอย่างที่จะทำงานได้ไม่ดีนัก เนื่องจากบริษัทอื่นจ่ายเงินเพื่อให้มีความสำคัญสูงสุด ลองนึกภาพว่าคุณขับรถและจ่าย DGT เพื่อให้สามารถแซงซ้ายและขวาด้วยความเร็วที่คุณต้องการ นอกจากนี้ พวกเขายังมีไซเรนในรถให้คุณเพื่อข้ามสัญญาณไฟจราจร ถึงเวลาแล้วที่หากหลายบริษัททำเช่นนี้ คุณจะต้องชะลอการทำงานลง คุณไม่สามารถให้ความสำคัญสูงสุดกับทุกคนได้ เมื่อบริการได้รับการจัดลำดับความสำคัญ ก็จะส่งผลกระทบต่อบริการอื่นๆ ที่ไม่ได้รับการจัดลำดับความสำคัญเสมอ
  • ทำไมโอเปอเรเตอร์ถึงสนใจที่จะทำสิ่งนี้? ผู้ดำเนินการจะได้รับรายได้จากการจัดลำดับความสำคัญของทราฟฟิกของบริษัทที่จ่ายเงิน บริษัทต่างๆ จะเห็นว่าเวลาแฝงลดลงและรับประกันความเร็ว ใครก็ตามที่ต้องการการเชื่อมต่อที่ทำงานได้อย่างสมบูรณ์จะต้องผ่าน "กล่อง" ของผู้ให้บริการ

ปัญหาหลักของสิ่งนี้คือจะมีอินเทอร์เน็ตระดับ 1 และอินเทอร์เน็ตระดับ 3 ในขณะที่ผู้ที่จ่ายเงินจะรับประกันเวลาแฝงและความเร็ว ผู้ที่ไม่รับประกันจะได้รับความพยายามอย่างดีที่สุดโดยไม่มีสิ่งใดรับประกัน ในทางปฏิบัติ เราอาจเห็นได้ว่าบริการบางอย่างจะทำงานได้แย่ลง (บริการที่ไม่ต้องจ่าย)

API ที่เราคิดว่ามีประโยชน์

มี Open Gateway API บางตัวที่เราพิจารณาว่าน่าสนใจและมีประโยชน์เพื่อปรับปรุงความปลอดภัยของผู้ใช้หรือการเชื่อมต่อ เราจะอธิบายว่าพวกเขาคืออะไรและพวกเขาทำอะไรกันแน่ด้านล่าง

สถานะอุปกรณ์

API นี้เป็น "อันตราย" น้อยที่สุดในแง่ของความเป็นส่วนตัวของเรา โดยพื้นฐานแล้ว สิ่งที่ทำคือบอกบริษัทหรือลูกค้าที่ทำสัญญากับ Open Gateway หากอุปกรณ์ปลายทางขาดการเชื่อมต่อกับเครือข่าย เชื่อมต่อใหม่แล้ว และแม้ว่าเรากำลังโรมมิ่งอยู่ก็ตาม ในตอนนี้ API นี้จะใช้ได้เฉพาะกับเครือข่าย 4G และ 5G ซึ่งเป็นจุดที่เหมาะสม แม้ว่าพวกเขาจะสามารถเพิ่มคุณสมบัติเพิ่มเติมในอนาคตสำหรับเครือข่ายแบบอยู่กับที่

ซึ่งไม่ส่งผลกระทบต่อความเป็นส่วนตัวมากนัก เนื่องจากปัจจุบันผู้ให้บริการทราบอยู่แล้วว่าลูกค้ากำลังโรมมิ่ง ตัดการเชื่อมต่อจากเครือข่ายหรือเชื่อมต่อใหม่แล้ว นอกจากนี้ เราเชื่อว่าเป็นสิ่งที่ดีเพราะจะช่วยให้พวกเขาตรวจพบปัญหาที่อาจเกิดขึ้นในระดับเครือข่ายในบางตำแหน่ง เราสนับสนุนการใช้ API นี้โดยมีจุดประสงค์เพื่อปรับปรุงเครือข่าย เนื่องจากเมื่อตรวจพบการตก จะสามารถทราบได้อย่างแน่ชัดว่าเสาสัญญาณเซลล์ใดเป็นเสาสุดท้ายที่ถูกใช้งาน

OTPการตรวจสอบAPI

สามารถใช้ API นี้เพื่อส่งรหัสผ่านแบบใช้ครั้งเดียวแบบสั้น (OTP) ไปยังหมายเลขโทรศัพท์ผ่านทาง SMS และตรวจสอบความถูกต้องของรหัสผ่านโดยอัตโนมัติ เพื่อพิสูจน์การครอบครองหมายเลขโทรศัพท์ คุณสมบัติที่สำคัญอื่น ๆ คือสามารถตรวจสอบแบบเรียลไทม์เพื่อยืนยันว่าผู้ใช้ที่เป็นเจ้าของอุปกรณ์มีหมายเลขโทรศัพท์มือถือที่ระบุ สิ่งนี้ทำให้สามารถให้ OTP บ่อยครั้งเพื่อเพิ่มชั้นความปลอดภัยให้กับบริการต่างๆ

ในเอกสารอย่างเป็นทางการระบุว่ารหัสผ่านครั้งเดียวผ่าน SMS เป็นวิธีการที่ปลอดภัยในการเข้าถึงแอปพลิเคชันหรือทำธุรกรรม อย่างไรก็ตามด้วย การคุกคามของ Sim Swapping เราเชื่อว่านี่ไม่ใช่สิ่งที่ดีที่สุด อันที่จริง เพื่อความปลอดภัย ดีที่สุด เพื่อใช้แอปพลิเคชันตัวรับรองความถูกต้องในเครื่องและแม้แต่แอปพลิเคชันของบริการเอง . ตัวอย่างเช่น ธนาคาร Caixabank ไม่เคยส่งข้อความ SMS แต่ทุกอย่างดำเนินการผ่านแอปพลิเคชัน Caixabank Sign ด้วยรหัสผ่านหรือลายนิ้วมือของเรา

ปัญหาของฟิชชิ่งกับ SMS

การรับรองความถูกต้องประเภทนี้มีอยู่แล้ว แต่ตอนนี้ผู้ผลิตจะมีสิทธิ์เข้าถึงแบบ "เนทีฟ" เพื่อตรวจสอบสิทธิ์ลูกค้า ในความเห็นของเราปัจจุบันนี้ไม่ได้นำสิ่งใหม่เข้ามาเนื่องจาก SMS ปัจจุบันทำเช่นเดียวกันแล้วแม้ว่าจะเป็นไปได้ที่เราไม่ต้องป้อนรหัสอีกต่อไป แต่จะทำโดยอัตโนมัติ

สลับซิม

API นี้น่าสนใจที่สุดในบรรดาการจัดการกับ SIM Swapping ซึ่งเป็นหนึ่งในการโจมตีหลักต่อผู้ใช้เพื่อขโมยรหัสผ่านทาง SMS (ตามคำแนะนำของ API ก่อนหน้า) และเข้าถึงธนาคารหรือบริการออนไลน์ด้วยการยืนยันตัวตนแบบสองปัจจัย ประเภทนี้. ดังที่เราได้อธิบายไปก่อนหน้านี้ การใช้วิธีการยืนยันแบบสองขั้นตอนผ่าน SMS นั้นไม่ปลอดภัยเลย แต่ API นี้ที่เรียกว่า SimSwap สามารถปรับปรุงความปลอดภัยได้

จุดประสงค์ของ API นี้คือเพื่อขอวันที่สุดท้ายของการแลกเปลี่ยน SIM ที่ดำเนินการบนสายโทรศัพท์เคลื่อนที่ หรือเพื่อตรวจสอบว่ามีการแลกเปลี่ยน SIM ก่อนหน้านี้ในช่วงระยะเวลาก่อนหน้าหรือไม่ สิ่งนี้ช่วยให้สามารถตรวจสอบวันเปิดใช้งานซิมการ์ดใหม่ตามเวลาจริงสำหรับหมายเลขที่กำหนด คุณสมบัตินี้ช่วยป้องกันการฉ้อโกงและลดความเสี่ยงของการฉ้อโกงได้อย่างมาก

Tarjeta SIM โคลนาดา กรณีการใช้งานจริง:

ลองนึกภาพว่าธนาคารเช่น BBVA (ซึ่งส่งข้อความ SMS สำหรับบางสิ่ง) ซื้อการเข้าถึง SimSwap API นี้ ก่อนที่จะส่งข้อความ SMS ไปยังโทรศัพท์เพื่อยืนยันตัวตน ธนาคารสามารถตรวจสอบได้ว่ามีการเปลี่ยนแปลงซิมหรือไม่ และตัดสินใจว่า ไม่ให้ส่งรหัส SMS ใดๆ ตัวอย่างการใช้งาน:

  • หากมีการเปลี่ยนแปลงซิมในสัปดาห์ที่แล้ว: ไม่ส่งรหัส SMS ใดๆ และส่งข้อผิดพลาดผ่านแอปพลิเคชันหรือธนาคารออนไลน์
  • หากไม่มีการเปลี่ยนซิมเป็นเวลา 1 ปีขึ้นไป: ส่งรหัส SMS เนื่องจากคุณได้ตรวจสอบแล้วว่าโทรศัพท์ (ด้วยความมั่นใจอย่างยิ่ง) เป็นของลูกค้า และพวกเขาไม่ได้ทำการโจมตี SimSwap

แม้ว่า API นี้จะน่าสนใจจริง ๆ และปรับปรุงความปลอดภัยจากการหลอกลวงเหล่านี้ SimSwap เป็นสิ่งที่ผู้ให้บริการต้องควบคุมเป็นอย่างดี เพื่อไม่ให้ใครเปลี่ยนซิมการ์ดของลูกค้าและทำให้บัญชีธนาคารของพวกเขามีช่องโหว่

หน้าแรกอุปกรณ์QoD

API นี้คล้ายกับ QualityOnDemand แต่เน้นที่เครือข่ายใยแก้วนำแสงในบ้านแบบคงที่ สิ่งนี้ทำให้สามารถใช้นโยบายการจัดการการรับส่งข้อมูลนอกเหนือจากบริการเชื่อมต่ออินเทอร์เน็ตของผู้ให้บริการ API จะสามารถกำหนดค่าเราเตอร์ด้วยโปรโตคอล DSCP เพื่อจัดลำดับความสำคัญของการรับส่งข้อมูลเครือข่ายที่ดาวน์โหลดภายในเครือข่ายภายในบ้านของผู้ใช้สำหรับอุปกรณ์ภายในบ้านที่กำหนด สิ่งที่สำคัญมากคือ DSCP จะจัดลำดับความสำคัญของทราฟฟิกภายในเครือข่ายเท่านั้น ไม่ใช่ในเครือข่ายของโอเปอเรเตอร์ นอกจากนี้ DSCP ยังจัดลำดับความสำคัญได้เฉพาะการดาวน์โหลดข้อมูล (จากเราเตอร์ไปยังไคลเอนต์) โปรไฟล์ทราฟฟิกเท่านั้น ไปยังอุปกรณ์ภายในบ้านที่เชื่อมต่อด้วย อินเตอร์เน็ตไร้สาย.

โดยพื้นฐานแล้วเหมือนกับการกำหนดค่า QoS บนเราเตอร์ แต่กำหนดค่าโดยแอปพลิเคชันหรือบริการที่เราจะใช้ เราจะเห็นว่าบริการนี้ เช่น แฮงเอาท์วิดีโอ ทำงานได้ดีขึ้นและราบรื่นขึ้นมาก เนื่องจากได้กำหนดค่า QoS ของเราเตอร์ของเราโดยอัตโนมัติและโปร่งใสอย่างสมบูรณ์

  • สิ่งนี้ส่งผลต่อคุณอย่างไร? สิ่งนี้มีจุดแข็งและจุดอ่อน ส่วนที่เป็นบวกคือเราจะได้รับประสบการณ์การใช้งานที่ดีขึ้นเมื่อทำการโทรผ่านวิดีโอหรือเล่นออนไลน์ ตราบใดที่บริษัทจ่ายเงินสำหรับการเข้าถึง Open Gateway ข้อเสียคือหากเราใช้บริการหลายอย่างพร้อมกัน เมื่อเรามี "ลำดับความสำคัญสูง" บนอุปกรณ์หลายเครื่อง หมายความว่าบริการทั้งหมดจะยังคงมีความสำคัญเท่าเดิมเพราะไม่สามารถจัดลำดับความสำคัญพร้อมกันได้
  • ทำไมโอเปอเรเตอร์ถึงสนใจที่จะทำสิ่งนี้? ผู้ดำเนินการจะได้รับรายได้จากการอนุญาตให้บริษัทกำหนดค่า QoS ของเราเตอร์ที่ลูกค้าใช้ และทั้งหมดนี้สำหรับผู้ใช้อย่างโปร่งใส

ตามหลักเหตุผลแล้ว หากคุณเปลี่ยนเราเตอร์ของโอเปอเรเตอร์และซื้อเอง คุณจะไม่มีฟังก์ชันนี้ทั้งในทางที่ดีขึ้นและแย่ลง สิ่งที่ API นี้อนุญาตคือการปรับปรุง QoE (คุณภาพประสบการณ์) ของผู้ใช้สำหรับบริการเหล่านั้นที่ต้องการ เช่น การโทร VoIP หรือการสนทนาทางวิดีโอ รวมถึงการใช้งานอื่นๆ

เอดจ์คลาวด์

API นี้ทำให้สามารถให้บริการ ขอบ เราเตอร์ที่อยู่ใกล้กับอุปกรณ์ที่ทำการค้นหามากที่สุด โดยมีจุดประสงค์เพื่อปรับเส้นทางจากต้นทางไปยังปลายทางให้เหมาะสมที่สุด การดำเนินการนี้จะช่วยให้ทราบว่าแพลตฟอร์ม MEC ใดอยู่ใกล้ไคลเอ็นต์มากที่สุด เพื่อให้มีเวลาแฝงน้อยที่สุดและความเร็วสูงสุดที่เป็นไปได้ เมื่ออยู่ใกล้กันมากขึ้น การแพร่กระจายและเวลาแฝงไป-กลับของข้อมูลจะลดลง ทำให้เรามีเวลาแฝงน้อยลงและความเร็วที่แท้จริงก็สูงขึ้นด้วย

  • สิ่งนี้ส่งผลต่อคุณอย่างไร? แอปพลิเคชันหรือบริการที่คุณใช้จะทำงานได้ดีขึ้นสำหรับคุณ โดยมีเวลาแฝงที่ต่ำกว่าและความเร็วสูงกว่า เนื่องจากคุณจะเชื่อมต่อโดยตรงกับเซิร์ฟเวอร์ที่ใกล้ที่สุด และไม่ต้องเชื่อมต่อกับเซิร์ฟเวอร์ที่อยู่ห่างไกล
  • ทำไมโอเปอเรเตอร์ถึงสนใจที่จะทำสิ่งนี้? ผู้ดำเนินการจะได้รับรายได้จากการให้ข้อมูลเกี่ยวกับเซิร์ฟเวอร์ที่ใกล้ที่สุดสำหรับแอปพลิเคชันบางอย่าง อย่างไรก็ตาม นี่คือสิ่งที่ทำไปแล้วในปัจจุบันผ่านโปรโตคอลการกำหนดเส้นทางแบบไดนามิกของเกตเวย์ภายนอก เช่น BGP หากกำหนดค่า BGP ไว้อย่างดี เส้นทางที่เหมาะสมที่สุดจะถูกจัดเตรียมไว้เสมอ สิ่งนี้ดูเหมือนจะก้าวไปอีกขั้นเพื่อปรับปรุงประสบการณ์ของผู้ใช้ เนื่องจากตำแหน่งทางภูมิศาสตร์จะเข้ามามีบทบาท และจะคำนึงถึงการกำหนดเส้นทางภายในของ AS ของผู้ให้บริการ (ซึ่งโดยปกติจะใช้ IS-IS หรือ OSPF)

เราเชื่อว่า API นี้ค่อนข้างน่าสนใจในการให้บริการที่ดีขึ้นและเร็วขึ้น แต่ผู้ให้บริการต้องจ่ายเงินเพื่อให้มีการปรับปรุงเหล่านี้ เราเชื่อว่าพวกเขาสามารถทำได้โดยค่าเริ่มต้น เพราะสิ่งนี้จะช่วยปรับปรุงประสิทธิภาพของเครือข่ายด้วย และหลีกเลี่ยง การที่โหนดบางโหนดพังลงเพราะทราฟฟิกทั้งหมดเดินทางผ่านโหนดนั้นถือเป็น win-win อย่างไรก็ตาม มันดูไม่เลวสำหรับเราที่พวกเขาต้องการสร้างรายได้มากขึ้นโดยการจัดหา "การกำหนดเส้นทางระดับพรีเมียม" สำหรับผู้ที่ต้องการจ่ายเงิน แต่ ตราบใดที่พวกเขาไม่ทำร้ายคนที่เหลือที่ไม่จ่าย

สรุป

ดังที่เราได้เห็นก่อนหน้านี้ มี API ที่เป็น เน้นเฉพาะการละเมิดความเป็นส่วนตัวของผู้ใช้ รวบรวมข้อมูลมากกว่าที่รวบรวมไว้แล้ว และซื้อขายข้อมูลเพื่อขายให้กับใครก็ตามที่จ่ายเงินเพื่อเข้าถึง Open Gateway เราเชื่อว่าเทคโนโลยีใหม่นี้อาจเป็นอันตรายต่อความเป็นส่วนตัวของผู้ใช้ เพราะคุณจะไม่สามารถกำจัดมันได้ทั้งหมดโดยใช้เครือข่าย VPN เพื่อปิดบังการรับส่งข้อมูล เนื่องจากมันจะถูกดำเนินการโดยกำเนิดบนสมาร์ทโฟนของคุณผ่าน เสาอากาศของผู้ประกอบการ

API อื่นๆ ได้รับการออกแบบมาโดยเฉพาะ ปรับปรุงประสบการณ์ของผู้ใช้ปลายทาง แต่ ปัญหาคือความเป็นกลางสุทธิอาจได้รับผลกระทบอย่างมาก . หากบริษัทและแบรนด์ต่าง ๆ ยอมจ่ายเงินเพื่อให้มีลำดับความสำคัญสูงสุด จะเกิดอะไรขึ้นกับคนที่ไม่จ่ายเงิน? ใน QoS ใดๆ ถ้าสิ่งที่ทำคือจัดลำดับความสำคัญของทราฟฟิก 80% (ผู้ที่จ่ายเงิน) ให้เริ่มต้นด้วยการทราฟฟิกนั้นจะไม่จัดลำดับความสำคัญ และเราจะจัดลำดับความสำคัญเกือบเท่าๆ กันหากไม่ใช้ QoS กับมัน และ ส่วนที่เหลืออีก 20% สามารถเห็นความหน่วงของการเชื่อมต่อที่เพิ่มขึ้น และความเร็วจะลดลงอย่างชัดเจน มีบางอย่าง API ที่เราคิดว่าน่าสนใจในเรื่องนี้ เช่นอันหนึ่งสำหรับ หน้าแรกอุปกรณ์QoD เพื่อเปิดใช้งาน QoS ของเราเตอร์ในพื้นที่และให้ประสิทธิภาพที่ดีมากผ่าน WiFi และเรายังเห็นสิ่งหนึ่งสำหรับ เอดจ์คลาวด์ ค่อนข้างดี แต่ตราบใดที่เส้นทางการเชื่อมต่อไม่ได้รับผลกระทบ บริษัทที่จะไม่จ่ายเงิน

สุดท้าย มี API ที่น่าสนใจมาก เช่น SimSwap เพื่อป้องกันการฉ้อโกง ไม่ต้องสงสัยเลยว่านี่คือ API ที่เราโปรดปราน เพราะจะช่วยให้ธนาคารตรวจสอบว่ามีการเปลี่ยน SIM ล่าสุดหรือไม่ เพื่อไม่ให้ส่ง รหัส OTP ผ่านทาง SMS และส่งการแจ้งเตือน